Dicas

Como evitar que o seu WhatsApp seja clonado

Macro do ícone do WhatsApp para iOS.

O WhatsApp é um aplicativo bastante democrático. É usado pela maioria dos brasileiros, dos mais humildes até a classe política. Por isso, chama a atenção a onda de golpes que políticos estão sofrendo. A boa notícia é que é possível mitigar esse problema.

Segundo o Caixa Zero, na semana passada, três paranaenses tiveram seus números clonados e usados para a aplicação de golpes: a vice-governadora Cida Borghetti (PP), o líder do governo na Assembleia Legislativa, Luiz Claudio Romanelli (PSB) e o também deputado estadual Evandro Araújo (PSC).  Desde 2016, de acordo com o Uol, pelo menos 20 congressistas também passaram por esse transtorno.

O golpe da clonagem do WhatsApp

Para saber como o golpe é aplicado, é preciso compreender o funcionamento do WhatsApp. Talvez você não se lembre, mas o cadastro no aplicativo é super simples; não pede um nome de usuário nem senha, apenas o número do telefone, que o WhatsApp verifica com um código enviado por mensagem SMS. O número é usado para se cadastrar e, numa eventual troca de aparelho, para recuperar a sua conta.

Em tese, é uma dinâmica bastante segura. A única maneira de burlá-la seria interceptando mensagens SMS ou tendo acesso a um chip com o número da vítima, duas coisas que não são triviais, porém possíveis.

Ilustração com uma mãozinha depositando uma moeda em uma caixa com o logo do Manual do Usuário em uma das faces, segurada por dois pares de mãos. Ao redor, moedas com um cifrão no meio flutuando. Fundo alaranjado.

Apoie o Manual do Usuário.
Você ajuda a manter o projeto no ar e ainda recebe recompensas exclusivas. Saiba mais »

Até onde se sabe, como revelou reportagem do Fantástico veiculada em fevereiro de 2017, esse tipo de golpe geralmente conta com a cumplicidade de funcionários mal intencionados das operadoras. Eles desativam o número do chip da vítima e o habilitam em um novo, que é cedido ao golpista. Dali, ele consegue acessar o WhatsApp da vítima e se passar por ela.

Embora o golpe seja comumente chamado “clonagem do WhatsApp”, na prática o que ocorre é uma substituição — afinal, não é possível que uma conta do WhatsApp permaneça ativa em dois celulares ao mesmo tempo. A vítima perde o sinal da operadora após seu chip ser desativado e, depois que o golpista ativa o WhatsApp no novo chip, também o acesso ao aplicativo. Aliás, atentar-se ao sinal da operadora é uma boa prática no dia a dia: se ele sumir e não voltar, o golpe pode estar em andamento.

Ao ganhar acesso ao WhatsApp da vítima, o golpista não tem muitas informações. Os contatos não estão vinculados à conta (eles derivam da agenda do celular) e conversas antigas não são restauradas (elas ficam guardadas no smartphone, e não na nuvem). Ele só receberá mensagens que tenham sido enviadas no ínterim da desativação do chip da vítima e ativação do novo. Outra coisa que vem são os grupos. É aí, como ocorreu no caso da vice-governadora do Paraná, que a maioria das tentativas de extorsão acontece.

A única maneira de o golpista ter acesso às conversas antigas do WhatsApp é violando, também, o backup na nuvem do smartphone da vítima. O WhatsApp oferece a opção de backup através do Google Drive (Android) e iCloud (iOS). Se as credenciais do Google ou da Apple forem comprometidas, então o WhatsApp é capaz de, durante o cadastro pelo golpista, restaurar esse backup.

Como se proteger?

Em fevereiro de 2017, o WhatsApp ganhou uma camada extra de segurança que mitiga esse tipo de golpe. Trata-se da verificação em duas etapas.

Telas da verificação em duas etapas do WhatsApp.
Telas da verificação em duas etapas do WhatsApp.

Ao ativá-la — em  Configurações > Conta > Verificação em duas etapas > Ativar —, o WhatsApp pede ao usuário para que digite um PIN (código, senha) de seis dígitos. Também é dada a opção de cadastrar um e-mail, que pode ser usado para relembrar o PIN caso ele seja esquecido.

Com a verificação em duas etapas ativada, sempre que você trocar de smartphone e tentar ativar o WhatsApp no novo aparelho, será preciso inserir o PIN. Na prática, o PIN funciona como uma senha, dificultando bastante a ação de quem estiver tentando obter acesso à sua conta no WhatsApp.

O PIN deixa de ser exigido após sete dias de inatividade no WhatsApp. É tempo suficiente para notar alguma anomalia, como a perda do sinal da operadora, e resolvê-la.

Não vá fazer como o ministro Carlos Marun (MDB-MS), que ficou seis meses sem acesso à sua conta no WhatsApp! É preciso agir rápido, porque a exigência do PIN tem prazo de validade. Após sete dias do último uso, a conta poderá ser ativada novamente sem o PIN. Nesse caso, porém, mensagens recebidas no intervalo desde o último uso do aplicativo não serão entregues. Após 30 dias, uma nova conta será criada, o que significa que os grupos serão excluídos.

Caso o usuário se esqueça do PIN, ele tem a opção de pedi-lo por e-mail, o que significa que o mesmo cuidado deve ser tomado com a sua caixa de entrada.

Periodicamente, o WhatsApp pede ao usuário para que insira o PIN. Segundo a empresa, isso é feito para “ajudar a lembrar do seu PIN”.

Verificação em duas etapas em todo lugar

Em segurança digital, a verificação em duas etapas envolve, como o nome indica, dois dados: um que você tem e outro que você sabe. Em geral, se trabalha com uma senha (que você sabe) e um token (que você tem), como aqueles chaveiros com números aleatórios que alguns bancos oferecem aos correntistas.

O WhatsApp simplesmente inverte essas opções: por padrão, ele atua com algo que o usuário tem (o número do telefone). Ao ativar a verificação em duas etapas, o WhatsApp passa a exigir algo que você sabe (o PIN/senha).

A verificação em duas etapas está disponível em vários serviços — de e-mail, de redes sociais, de armazenamento na nuvem, até nas contas atreladas ao Android e ao iOS — e, além do SMS, que é considerado bastante inseguro, na maioria dos casos funciona com apps de terceiros, como o Google Authenticator e o Authy (a indicação do Manual do Usuário). A configuração inicial é um pouco trabalhosa, mas o ganho em proteção vale o esforço. O Tecnoblog tem um bom material ensinando como ativá-la em diversos serviços populares.

Foto do topo: Marcelo Andrade/Gazeta do Povo.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

3 comentários

Do NOT follow this link or you will be banned from the site!